Facebook-DatenleckWir haben die Bundestags-Abgeordneten angerufen, deren Handynummern jetzt öffentlich sind

Durch ein Datenleck bei Facebook wurden die Handynummern von einer halben Milliarde Menschen öffentlich, über sechs Millionen Deutsche sind betroffen. Auch mehr als 50 Bundestags-Abgeordnete sind in dem Datensatz. Die kritisieren Facebook für das Leck – und dass sie erst von uns darüber informiert wurden.

Reichstag Kuppel in blau und weiss
Facebook im Bundestag: Reichstagskuppel blau-weiß. (Symbolbild). CC-BY-NC-ND 2.0 Andreas Wecker

„Sie machen mir jetzt Angst.“ „Das ist völlig inakzeptabel.“ „Ein Schlag ins Gesicht.“ So reagieren Bundestags-Abgeordnete, deren Handynummer gegen ihren Willen durch ein Datenleck bei Facebook öffentlich wurde.

Facebook sammelt gerne Telefonnummern. Apps laden vollständige Adressbücher an die Server des Datenkonzerns. Manche Leute wollen ihren Account mittels Zwei-Faktor-Authentisierung absichern und geben dafür eine Handynummer an. Stets versichert Facebook, diese Handynummern nicht zu veröffentlichen. Passiert ist es trotzdem.

Schon 2018 hat jemand 30 Millionen Facebook-Profile inklusive Handynummern abgegriffen. 2019 wurde eine Liste von 419 Millionen Facebook-Accounts veröffentlicht, wieder mit Telefonnummern. Seit einer Woche ist ein Datensatz mit 533 Millionen Einträgen öffentlich – Handynummern inklusive. Das hat Facebook eingeräumt. Erst gestern wurde schon wieder ein neuer Datensatz berichtet.

Netzpolitik.org wurde auf einen öffentlich zugänglichen Datensatz mit 495 Millionen Facebook-Profilen aufmerksam gemacht. Aus Persönlichkeitsgründen verlinken wir nicht direkt darauf, auch wenn sie öffentlich sind. Eine Kopie des Datensatzes liegt uns vor. Zu jedem Facebook-Profil gibt es über zehn Datenfelder, darunter Name, Handynummer, Facebook-ID und Wohnort, manchmal auch Geburtsdatum und -ort. Betroffen sind Menschen aus mindestens 105 Staaten.

„Netzpolitik.org hat mich informiert.“

In diesem Datensatz sind über sechs Millionen Facebook-Accounts aus Deutschland, inklusive Handynummer. Das ist etwa jede:r sechste Facebook-Nutzer:in oder jede:r dreizehnte Einwohner:in Deutschlands. Wir haben nach Bundestags-Mitgliedern gesucht und auf Anhieb 54 Abgeordnete aus allen Fraktionen gefunden. Die demokratischen Abgeordneten haben wir einfach mal angerufen. Wir wollten wissen, was sie davon halten, dass ihre Handynummer öffentlich ist, wie sie damit umgehen und welche Konsequenzen sie fordern.

Mehr als 30 Bundestags-Abgeordnete haben unseren Anruf auf ihrem Handy angenommen und wir konnten mit ihnen sprechen. Zwei sind sogar Parlamentarische Staatssekretäre bei Bundesministerien. Bei fünf haben wir nur die Mailbox erreicht. Vier haben wir ausgelassen, wir diskutieren nicht mit Anhängern gruppenbezogener Menschenfeindlichkeit. Zwei Nummern waren nicht mehr vergeben.

Die meisten Parlamentarier:innen wussten nichts davon, dass sie in einem Datenleck von Facebook sind und ihre Handynummer nun öffentlich ist. Niemand hat ihnen Bescheid gesagt – weder Facebook, noch der Bundestag, auch nicht Behörden wie das BSI. Ein Großteil erfuhr erst durch unseren Anruf davon. Eine Handvoll Abgeordneter hatte bereits aus Medienberichten oder auf Twitter davon erfahren. Zwei haben auf haveibeenpwned.com selbst überprüft, ob ihre Daten Teil des Lecks sind.

„Sie machen mir jetzt Angst.“

Die Abgeordneten aller demokratischen Fraktionen äußern sich übereinstimmend negativ über das Datenleck: „Das geht gar nicht“, „völlig inakzeptabel“, „verdammt ärgerlich“, „besorgniserregend“, „bin schockiert,“, „verurteile ich auf das Schärfste“, „nicht hinnehmbar“, „sehr bedenklich“, „bin sauer“, „darf nicht passieren“ und gleich mehrmals „Das ist eine Frechheit.“

Fast alle Parlamentarier:innen erwarten, dass Facebook sämtliche Betroffenen darüber informiert, und zwar „zeitnah“, „unverzüglich“, „schnellstmöglich“ oder sogar „sofort“. Am Mittwoch hat Facebook angekündigt, die 500 Millionen Betroffenen nicht benachrichtigen zu wollen. Das wollen die Abgeordneten nicht gelten lassen, sie bezeichnen diese Position von Facebook als „Frechheit“, „nicht hinnehmbar“ und „absoluten Vertrauensverlust“. Mehrere verweisen auf die Benachrichtigungs-Pflicht der Datenschutz-Grundverordnung.

Die meisten Bundestags-Mitglieder nutzen nur eine Handynummer für private und dienstliche Anliegen. Einige halten ihre Handynummer nicht besonders geheim. Ungefähr ein Dutzend veröffentlicht ihre Nummer sogar auf ihrer Webseite oder Wahlplakaten. Alle betonen, dass das für den Rest der Bevölkerung nicht gilt, die allermeisten wollen ihre Handynummer nicht veröffentlichen. Sechs Millionen Betroffene in Deutschland sind im Durchschnitt über 20.000 in jedem Wahlkreis.

„Ich wollte Facebook nie.“

Viele Abgeordnete wollen ihre Handynummer nicht öffentlich machen und selbst darüber entscheiden. Besonders Frauen und Personen mit Migrationshintergrund berichten von Droh-Anrufen, einige haben „Sorgen“ und „Angst“. Die grüne Canan Bayram und die linke Gökay Akbulut haben ihre Handynummer bereits gewechselt. Eine Parlamentarierin der SPD kündigt an, ihre Nummer jetzt zu ändern. Je eine Abgeordnete von CDU und CSU prüfen einen Wechsel ihrer Nummer.

Eine kleine Auswirkung haben die meisten Abgeordneten bereits gespürt. Fast alle haben in den letzten Tagen Fake-SMS mit Links auf Schadsoftware erhalten. Das betrifft nicht nur Nummern, die im Facebook-Datenleck sind, die aber vermehrt.

Einige äußern neben Verärgerung und Enttäuschung auch eine Art Abgebrühtheit gegenüber Facebook. Sie sind zwar überrascht, dass die Daten gegen ihren Willen öffentlich geworden sind. Aber sie sind nicht überrascht, dass es passieren könnte. Mehrere Abgeordnete kritisieren, dass Facebook Datenschutz und Datensicherheit nicht ernst nimmt.

Manche sind ohnehin nicht ganz freiwillig bei Facebook: „Ich wollte Facebook nie.“ Aber im Bundestag braucht man das, um Bürger:innen zu erreichen und sichtbar zu sein, vor allem im Wahlkampf. Ein ehemaliger Abgeordneter, der jetzt Bürgermeister ist, fühlt sich durch diesen Vorfall bestätigt, seinen Account abzuschalten. Eine Parlamentarierin, die bei der nächsten Bundestagswahl nicht mehr antritt, sagt: „Wenn ich den Bundestag verlasse, ist Facebook das erste, wo ich rausgehe.“

Die Handynummer dürfte trotzdem öffentlich im Internet zugänglich bleiben. Wie die anderen 500 Millionen.


Hier ein Auszug der 54 Bundestags-Abgeordneten aus den 495 Millionen öffentlich gewordenen Facebook-Daten. Aus Darstellungsgründen ist die Auswahl auf vier der zwölf Datenfelder begrenzt. Aus Persönlichkeitsgründen haben wir die Telefonnummer teilweise geschwärzt.


Vorname Nachname Telefonnummer Facebook-ID
Gökay Akbulut +491799310███ 632111033
Philipp Amthor +491731521███ 100000825649057
Niels Annen +491605838███ 1347595337
Matthias Bartke +491796743███ 100003503353746
Canan Bayram +491635518███ 100001188936747
Bernhard Daldrup +491709343███ 1668638784
Michael Donth +491725779███ 100000978739238
Ingo Gädechens +491739996███ 100000872166212
Metin Hakverdi +491786628███ 1788371126
Matthias Hauer +491722373███ 1766974875
Marcus Held +491716820███ 100001829041286
Christian Hirte +491795317███ 100004531561624
Erich Irlstorfer +491796736███ 100003057575819
Ingmar Jung +491732172███ 549326359
Oliver Kaczmarek +491707657███ 1000776277
Johannes Kahrs +491772505███ 1238307399
Kerstin Kassner +491737110███ 100005691577799
Günter Krings +491735444███ 1173918398
Michael Kuffer +491757255███ 100002959149633
Stephan Kühn +491711202███ 1497169888
Ulrich Lechte +491739488███ 1427750014
Jens Lehmann +491782185███ 100013981569996
Hiltrud Lotze +491705327███ 100000980674630
Till Mansmann +491796916███ 1258417110
Andreas Mattfeldt +491729082███ 1533503396
Karsten Möring +491627225███ 1849539253
Elisabeth Motschmann +491724202███ 100002440661573
Andreas Mrosek +491636868███ 100006341674797
Carsten Müller +491703433███ 100005495169208
Thomas Nord +491774311███ 100005480262101
Gerold Otten +491626900███ 100001873515767
Joachim Pfeiffer +491729797███ 1722824263
Eckhard Pols +491704522███ 100000036508888
Martin Reichardt +491717748███ 100012307539722
Ingrid Remmers +491716288███ 100000318779294
Martina Renner +491715410███ 100001139365159
Manuel Sarrazin +491743055███ 1246819480
Anita Schäfer +491712096███ 100006011653466
Udo Schiefner +491722993███ 100001676105790
Patrick Schnieder +491782842███ 100001362943154
Frank Sitta +491723439███ 1452077189
Helin Evrim Sommer +491723925███ 100009722868582
Martina Stamm-Fibich +491705808███ 100009235252264
Mathias Stein +491737017███ 1794107303
Sebastian Steineke +491605535███ 100000947548530
Michael Thews +491705417███ 1765406006
Alexander Throm +491791283███ 100001572532755
Carsten Träger +491796937███ 100001266741136
Markus Uhl +491777361███ 1187889895
Alexander Ulrich +491733025███ 100000599376971
Anja Weisgerber +491714406███ 1305940842
Nicole Westig +491708180███ 100000872925578
Uwe Witt +491626990███ 100004405539462
Jens Zimmermann +491736534███ 507936872

16 Ergänzungen

  1. > Manche Leute wollen ihren Account mittels Zwei-Faktor-Authentisierung absichern und geben dafür eine Handynummer an.

    So simpel ist es leider nicht. Im beruflichen Kontext zwingt mich Facebook zur 2-Faktor-Auth, damit weiterhin über den sog. Business Manager Funktionen wie Werbeanzeigenmanagement ausgeführt werden können.

    1. Gerade deshalb sollte man es sich nicht gefallen lassen wenn der Chef/die Chefin meint „da nehmen sie am besten ihre private Handynummer, das macht doch sicher nichts“.

  2. Wie schätzt ihr hier die Wahrscheinlichkeit für ein Bussgeld ein? (Und in welcher Höhe?)
    Es wurden ja ganz eindeutig auch nicht-zu-wenig Daten von Nicht-Nutzern durch Facebook gesammelt.

    1. Ich dachte nach DSGVO seien die verpflichtet alle zu informieren. Sollte das Leak allerdings „alt genug“ sein, fiele es nicht unter die DSGVO, und von Seiten Facebooks war ja schon zu vernehmen, das Leak sei ja alt.

      Ob das zutrifft und ob es zieht, ist eine Frage, die ich auch nicht beantworten kann. Es ist z.B. ohne weiteres möglich, dass der Datensatz „alt“ unter Zuhilfenahme anderer Quellen angereichert und ergänzt ist. Ob das für einen „Freispruch reicht… naja. Zumindest bietet „alte Daten“ eine basale Verteidigung, so dass User vielleicht nicht in Schnappatmung verfallen, obwohl ihre Daten sich seit alter Zeit nicht geändert haben.

      Je früher man solche Moloche zerschnetzelt desto besser.

  3. Ich bin leider auch betroffen – bekomme seit Tagen diese Spam-SMS, die gerade in der aktuellen Lage, wo man wirklich ab und an Pakete erwartet einfach nerven.

    Dabei hatte Facebook meine Handynummer wirklich nur für die 2FA Anmeldung – die war und ist auf „nur ich“ sichtbar gestellt. Das ist kein Scalping, sondern definitiv ein Datenleck, wenn auf privat gestellte Informationen da über eine API abgegriffen werden konnten.

    1. Was die Sichtbarkeit „Nur ich“ angeht glaube ich da soll man sich besser nicht drauf verlassen wenn es einen Hackerangriff gab oder daten millionenfach abhanden kamen. Stell dir Facebook als eine Riesige Hohlkugel vor und die Userdaten als Ausstülpungen nach innen. Von außen nicht zu sehen, oder. Und je privater umso tiefer drinnen (nur fürs Bild). Aber dann kommt der Ab-/An-greifer, und sitzt ggf. genau dort DRINNEN (im Innern der Kugel) und pflückt die Ausstülpungen wie andere Früchte vom Baum – nur einfacher und schneller. Die Hindernisse wirken alle nach Außen und die hat er ja schon überwunden.
      Darum sind Daten die gar nicht erst erhoben und gespeichert wurden die sichersten denn sie finden sich nur im Umkreis um eine Konkrete Person.. Und das ist die Maximale Unbequemlichkeit für alle Datengetriebenen Konzerne diese Informationen ggf. persönlich bei JEDEM einzelnen Datensparer ab holen, prüfen und dann erst kombinieren zu müssen/können. Datensparsamkeit ist Digitale Selbstverteidigung! [Mit VdS winkend] :-)

  4. Erschreckend fände ich eine Argumentation gegen maximalesd Bußgeld, die inetwa so verläuft, als dass ja noch viel schlimmere Daten hätten abhanden kommen können. Alleine die Ankündigung, die Benutzer nicht zu informieren, sollte Facebook mindestens einen Kopf kosten.

  5. Erhalte ebenfalls seit Tagen diese Phishing-SMS.
    Die SMS enthalten teilweise sogar meinen Vor- und Zuname.

    Habe allerdings noch nie ein Facebook-Konto gehabt!
    Meine Mobilnummer ist lt. haveibeenpwned.com nicht im Datensatz enthalten.

    Ich glaube, dass es da eventuell noch ein ganz anderes, größeres Datenleck gibt.

    1. Das geht mir genau so und ich bekomme solche Fake-SMS sogar an eine Betriebs-Handy Nr. die meines Wissens erst seit ca. 5 Monaten überhaupt existiert. Da denke ich das Telefon-spammer einfach einen gewissen Rufnummern-bereich mit ihrem Müll fluten. Dann muß es nicht mal ein Datenleck sein. Wenn dem so wäre: Wie bezahlen die diese Menge an SMS-Gebühren? Wie hoch muß da der „Return of Investment“ sein?

  6. Wenn mein Fahrzeughersteller mich nicht informiert, dass der Tank ein Loch hat, wenn der der Möbelverkauf mir nicht erklärt, dass ich B-Ware mit Mängeln kaufe, wenn nur irgendwo jemand versucht mich zu linken, dann nehme ich doch sofort Abstand von diesem Unternehmen. Wer immer noch auf Facebook angemeldet ist, dem fehlen stabile Prinzipien.

  7. Facebook mal wieder.

    Was mich besonders ärgert, ist, dass man sich vor dem Laden nicht effektiv schützen kann. Reicht ja, wenn jemand, der mich in seinem Telefonbuch hat, einer Facebook-App Zugiff auf die Kontakte gibt. Das war hier möglicherweise nicht der Fall, aber ich sehe nicht, warum solche Daten nicht auch mal an die Öffentlichkeit gelangen sollten.

    Ich würde auch gerne mal meinen Facebook-Account löschen, aber meine alten Nachrichten sind dann immer noch für die jeweiligen Kontakte zugänglich, sprich, auf Facebook-Servern gespeichert. Aus iiiirgendeinem Grund vertraue ich nicht, dass sie dort sicher sind.

  8. Selbst wenn es die Damen und Herren Fakebook für den Wahlkampf benötigen, müssen oder besser sollten sie es nicht mit ihren regulären Mobiltelefonen/Mobilnummer tun. Jede:r sollte inzwischen wissen, was solche Datenkraken alles mitschreiben. Von wegen Alternativlos…

  9. Da sieht man einmal wieder, wie übermäßig intelligent unsere Politiker sind. :) Schon mancher Skandal wurde konstruiert, indem man auf Telefonnummern zurückgegriffen hat, die vertraulich sein sollten. :)

Ergänzung an Arthur Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.